21、网络安全：单防火墙与多防火墙的DMZ部署策略

网络安全：单防火墙与多防火墙的DMZ部署策略

1. 后端为SQL的Web服务器部署

1.1 网络架构与需求

在网络架构中，存在一个位于非军事区（DMZ）的Web服务器，其IP地址为192.168.223.13，需要访问位于私有网络中IP地址为192.168.222.5的SQL后端服务器。为了实现对Web服务器的访问，防火墙需要允许超文本传输协议（HTTP）和SSL安全的HTTP（HTTPS）访问该Web服务器。同时，防火墙还需允许Web服务器通过TCP/IP套接字与Oracle服务器进行通信，这就要求建立与监听TCP端口1521的Oracle服务器的连接。

1.2 静态地址映射配置

第一步是定义静态地址映射，将防火墙接收到的HTTP和HTTPS数据包重定向到DMZ中的Web服务器。以下是必须在防火墙部署的静态地址映射表：
| 外部IP地址 | 传输协议 | 外部端口 | 内部IP地址 | 内部端口 |
| — | — | — | — | — |
| 23.16.16.5 | TCP | 80 | 192.168.223.23 | 80 |
| 23.16.16.5 | TCP | 443 | 192.168.223.23 | 443 |

1.3 防火墙规则配置

完成静态地址映射定义后，需要在防火墙配置规则，以允许对Web服务器的连接，并允许Web服务器与私有网络中的Oracle后端数据库进行通信。具体规则如下：
| 协议 | 传输协议 | 源IP | 源端口 | 目标IP | 目标端口 | 操作 |
| — | — | — | — | — | — |